入侵检测系统的优缺点有哪些

入侵检测系统的优点：

• 能够检测那些来自网络的攻击和超过授权的非法访问。

• 不需要改变服务器等主机的配置，也不会影响主机性能。由于这种检测技术不会在业务系统的主机中安装额外的软件，从而不会影响这些机器的CPU、I/O与磁盘等资源的使用，不会影响业务系统的性能。

• 风险低。由于网络入侵检测系统不像路由器、防火墙等关键设备那样会成为系统中的一个关键路径，所以网络入侵检测系统发生故障时不会影响正常业务的运行。

• 配置简单。网络入侵检测系统近年来有向专门设备发展的趋势，安装这样的一个网络入侵检测系统非常方便，只需将定制的设备接上电源，做很少一些配置，将其连到网络上即可。

入侵检测系统的缺点：

• 误/漏报率高。入侵检测系统(IDS)常用的检测方法有特征检测、异常检测、状态检测和协议分析等，这些检测方式都存在一定的缺陷。因此，从技术上讲，IDS系统在识别大规模的组合式、分布式的入侵攻击方面，还没有较好的方法和成熟的解决方案，误报与漏报现象严重，用户往往被淹没在海量的报警信息中，而漏掉真正的报警。

• 没有主动防御能力。IDS技术采用了一种预置式、特征分析式工作原理，所以检测规则的更新总是落后于攻击手段的更新。

• 缺乏准确定位和处理机制。IDS仅能识别IP地址，无法定位IP地址，不能识别数据来源。IDS在发现攻击事件的时候，只能关闭网络出口和服务器等少数端口，但这样关闭同时也会影响其他正常用户的使用，缺乏更有效的响应处理机制。

• 性能普遍不足。市场上的IDS产品大多采用的是特征检测技术，这种IDS产品已不能适应交换技术和高带宽环境的发展，在大流量冲击、多IP分片的情况下可能造成IDS的瘫痪或丢包，形成DoS攻击。